Juniper SSL VPNとRSAセキュリティのワンタイム

+
RSA SolutionBrief
Juniper SSL VPN と RSA セキュリティ
のワンタイム・パスワードによる強力
なリモートアクセス・ソリューション
認証された正しいユーザーへのアクセスを保証することが業務において重要です
ビジネスにおいて、社内アプリケーションやリソースへ、簡単かつ費用対効果に優れた
モバイルおよびリモートアクセスを社員へ提供することが、ますます必要となっています。
ネットワークを確実に保護するためには、認証方法が確実でなければなりません。 また、
ネットワークリソースにアクセスする個人の ID は正しく管理されている必要があります。
SSL セキュリティの組合せと強力な二要素認証ソリューションの配置の容易さが、あらゆ
る規模の企業に対し、承認されたユーザーの簡単なリモートアクセスを実現します。しか
も投資効率のよい企業ネットワークセキュリティを提供します。
Juniper Networks と RSA セキュリティが提供する柔軟性に富んだ、スケーラブルで管理
の簡単な SSL ベースの VPN や二要素認証セキュリティソリューションは、情報やアプリ
ケーションを保護しつつ、効率的なモバイルおよびリモートアクセスをビジネスが可能にな
ります。
I. は じ め に
企業がグローバルになるにつれ、社員の環境は、集中化および管理されたものから、機動的でパフォーマンス主体へ
と進化しています。リモートおよびモバイル社員の数は年々上昇しており、モバイル社員の数はアメリカだけでも 2008
年までに 1 億 300 万人に達し、翌年には世界中のモバイル社員が 8 億 7,800 万人に達しようとしています。
上昇し続けるリモートアクセスおよびモバイル社員数と相まって、今日の多くの企業の要求(認証要求)は、重要な企業
情報保護を高レベルに保ちつつ、リモートおよびモバイル社員の生産性を最大限にするような、効果的なテクノロジー
ツールをどのように提供するかということです。企業へのアクセスをオープンにすることにより、貴重な情報保護のため
の予防措置を実装していない企業はリスクを負うこととなります。増加するセキュリティ認証要求、ますます複雑になる
モバイルアプリケーション、24 時間サポートを求める強い声などと連動するコストの急騰は、IT 企業を苦境に陥れてい
ます。
ほとんどの企業の IT リソースは、モバイル社員の増加し続けるベースを管理するには限られており、また、取り扱いに
注意を要するような企業情報が充分保護されているかしっかりと確認するためには、しばしば複雑になりすぎています。
そこで、現行のインフラに簡単に組み込み、さらにエンドユーザーの「セルフサービスサポート」を改善するために、革新
的テクノロジーソリューションが必要となってきます。これはまた、エンドユーザーの操作を全体的に簡略化することであ
り、その結果、現行のテクニカルサポートの必要は最小限となるのです。
II. リ モ ー ト ア ク セ ス の ト レ ン ド
ほんの少し前まで、情報収集とは、時間とリソースの問題でした。今日、情報の宝庫は、インターネットに接続して誰で
も手に入れることができます。インターネットの普及で競争の場は公平になり、あらゆる規模の企業が難なく競合できる
ようになりました。安全なリモートアクセス・ソリューションは今またインターネットに影響を及ぼしており、専用回路や
個人電話回線のような、インターネットを通じたリモートアクセスの代替アプローチで、企業に回線コスト削減や社員の
生産性改善を達成できるようにしてくれています。
リアルタイムのリモートおよびモバイルアクセスといえば、かつては、予算などの理由で大企業の独占分野でした。しか
し、革新的ソリューションにより、あらゆる規模の企業が今や、SSL ベースの VPN を使用するなど、安全な接続のため
にインターネットを利用することができます。
2
VPN により企業は、個人データを安全で非公開に送受する公共ネットワーク(インターネットなど)を使用できるようにな
ります。サイト間の接続に必要なものは IPSec VPN で満たされる一方、企業にとってより複雑な認証要求は、エンドポ
イント管理と、リモートあるいはモバイル社員の動的なアクセス要件です。
TCO (Total Cost of Ownership) の削減
TCO は、取得価格とユーザビリティと時間経過によるメンテナンス費用と定義することができます。
ほとんどの企業はコストに敏感で、リモートアクセス VPN ソリューションの購入価格は大きな懸案事項です。安全な
VPN ソリューションを選択する以前に、企業はまた、現行の過剰な操作コ
ストのような重荷を負うことがないよう、ユーザビリティやメンテナンスのコ
ストに気を配り評価しなければなりません。TCO を低く抑えたまま生産性
を高めるためには、VPN ソリューションは、既存のリソースで対応できな
ければならず、エンドユーザーが安全かつ簡単にリモートアクセスできな
ければいけません。
パスワード(脆弱性に関する懸念)
企業ではパスワードは情報保護の観点で功を奏
していないと研究で示されています。フォレス
ターリサーチ社によると、60%以上のユーザー
が、1 つか 2 つの同じパスワードを継続して使用
ユーザーが自ら PC にソフトウェアをインストールする必要があるようなソ
リューションは、すでに制約ある IT リソース上に大きなサポート負荷を必
然的に課すことになります。非技術系ユーザーは、使いやすいソリュー
ションを欲しがる半面、企業は、クライアント・ソフトウェアをインストールし
たり、環境設定を行ったり、使用法を社員に教えたり、彼らが問題にぶつ
かった時サポートするコストや面倒を避けたがります。ますます多くの企
業が、(顧客との接触や、在庫調査や、帳簿管理にコンピュータを頼り)、
技術知識に精通するようになっても、その多くはまだ、社内 IT サポートに
容易にコストをかけられるには至っていません。個人のリモートアクセス
用 IPSec VPN をインストールし、環境設定するためには、そのようなス
タッフを置く必要があります。ネットワーク・アドレス・トランスレーション
(NAT)やファイアウォール、プロキシ・トラバーサルなどの問題が起きた
場合、モバイルユーザーが利用できる社内 IT サポートが必要です。
します(パスワード設定の自由を与えられた場
合)。パスワードは簡単に盗まれ、推測され、自
由に手に入るツールで簡単に解読され、管理す
るにはコストがかかり、しばしば忘れ去られてし
まいます。
エンドユーザーのバスワードに関するフラスト
レーションは、さらに問題となりつつあります。
ユーザーはよりシンプルで一貫した認証方式を
求めており、彼らがフラストレーションをあらわに
し、管理者が不十分なセキュリティについて心配
している間に、このシステム管理のコストは手に
余るほど上昇していきます。社員は自分のパス
ワードを覚えようと無駄に時間を費やし、生産性
は損なわれ、ユーザーはアクセスできなくなるた
安全性
もうひとつの重要な懸案事項は安全性です。IPSec VPN トンネルはまた、
コーポレート LAN へのパスでもあります。トンネル自体はコード化され、
安全ですが、接続の一端が外界に開いているならば(「スプリットトンネ
ル:split tunneling」)、その安全性も無意味になってしまいます。明確なサ
イト間の接続の場合、VPN 接続が既知の 2 つの拠点間にあると仮定す
ることは合理的ですが、これは LAN へのリモートユーザートンネルの
ケースではありません。
びに電話しなければなりません。失われていく社
員の生産性と、内部の IT 人員や外注 IT サービ
スプロバイダーを通してユーザーに回答する関
連経費などを考慮に入れると、これらの呼び出
しのオーバーヘッドサポートは高価です。ガート
ナー社によると、特に、パスワードのリセット要求
やユーザーID に関する諸問題が、ヘルプデスク
の電話問い合わせ件数の 15%∼35%を占めま
す このコストは相当な額になります
3
今日のリモートアクセスセキュリティの懸念は、しばしばユーザーの VPN セッションを利用してトンネルを通って入って
来るものに集中しています。大規模小規模どちらの企業にとっても、マイナーなセキュリティ保護違反でさえ、大規模企
業の場合、ブランドを失墜したり、より小規模企業にとってはビジネス全体に影響することもあります。
セキュリティに関するもうひとつの認証要求は、ネットワークにアクセスする各ユーザーの認証(ID 検証)です。エンター
プライズ・ネットワークを保護するためには、パスワードだけでは不十分です。複雑なパスワードを無理やり覚えさせら
れるエンドユーザーにとって、また、パスワードのリセットの経費や生産性損失をまかなうビジネスにとっても、それはフ
ラストレーションの元となります。パスワード使用のような一要素認証システムでは、事業のニーズには不十分な保護し
かできません。二要素認証(ユーザーが知っているか持っているもので構成する)が、エンタープライズ・ネットワークへ
のリモートアクセスには必須なのです。
III. リ モ ー ト ア ク セ ス ソ リ ュ ー シ ョ ン の ポ イ ン ト
リモートアクセスソリューションを評価するには、モバイルおよびリモートアクセス保護ソリューションについて、企業は、
以下の重要事項を考慮すべきです。
機能要件
−必要とするリソースにユーザーを接続
−企業の全アプリケーションと連動
−非技術系社員にもわかりやすいエンドユーザー操作
−ネットワーク再構成の必要性は最小限
−クライアントコンピュータに新しいアプリケーションは不要
考慮すべき TCO
−製品価格
−システム構築コスト
−必要なハードウェアとソフトウェアのコスト
−エンドユーザートレーニング
−ユーザーヘルプデスクサポート/ セルフサービス処理
−日々のメンテナンス
4
安全性
−エンドユーザー、重要データ、アプリケーション、サーバなどの保護
−暗号化通信
−強力な二要素認証の提供
−既存 AAA やインフラソリューションとスムーズに統合
−エンドポイントセキュリティコンプライアンス(端末の安全の確保)
−非技術系のモバイルユーザーにも使いやすいこと
スケーラビリティ
−現在および将来のリモートアクセスニーズを満たすようなスケーラビリティ
IV. エ ン タ ー プ ラ イ ズ 企 業 の セ キ ュ リ テ ィ
SSL VPN では、インターネットだけでなく、固有の特定プロトコルを利用しています。SSL は、オンライン金融取引を保
護するために当初開発された、Web セキュリティ技術基盤の 1 つです。SSL は、標準の Web ブラウザーで利用できる
ため、安全なデータ通信を標準のクライアントで実現できます。ガートナー社では、「2008 年までに、SSL VPN が、在宅
社員の 3 分の 2 以上、契約社員の 4 分の 3 以上、不特定の社員アクセスの 90%以上で、普段利用されるリモートアク
セス方式となるだろう」と予測しています。1
エンドユーザーに依存して、会社のラップトップや自宅のコンピュータ(IPsec VPN の場合)にコンフィギュレーションされ
たクライアントを持つ代わりに、SSL VPN では、安全なトランスポートメカニズムとして、SSL /HTTPS プロトコル(標準
的な Web ブラウザーで利用可)を使用します。SSL を使用することで、IPSec VPN 関連のさまざまな問題が解決されま
す。というのも、SSL には以下の利点があるからです。
−インストールする必要がない
−クライアントの PC にコンフィギュレーションする必要がない
−標準 Web ブラウザですぐに利用可能
−技術的知識のないほとんどのユーザーにも馴染み深い
1
ガートナー社、「Magic Quadrant for SSL VPN, North America 3Q06」John Girard、2006 年 12 月 27 日掲載
5
V. あ ら ゆ る 規 模 の 企 業 の た め の リ モ ー ト ア ク セ ス 統 合 ソ リ ュ ー シ ョ ン
Juniper Networks と RSA セキュリティは、あらゆる規模の企業に対して、強力な二要素認証を備えた SSL VPN の配
置が容易となる連携ソリューションを提供するため、緊密に連携して取り組みました。Juniper の SA シリーズは、中小規
模企業から、大企業や通信業者クラスのソリューションまで、幅広いさまざまな規模に対応しています。SA は、承認さ
れたユーザーの企業ネットワークへのリモートアクセスを可能にする安全で費用効率の高い方法を提供します。リモー
トもしくはモバイルユーザーが、Web ブラウザーから簡単にアクセスできるよう(暗号化された)SSL を使用します。 そ
れには、 クライアント側のソフトウェアも、サーバー変更も、また現行のメンテナンスも必要ありません。さらに、エンド
ユーザーのためにレメディエーションのセルフサービスを提供し、ユーザーは、管理者の定義するデータやリソースにア
クセスすることができます。この細分性レベルでは他に並ぶものなく、市場で最も革新的で安全なリモートアクセスのソ
リューションを提供します。
安全なリモートアクセスを提供するために、RSA セキュリティの強力な二要素認証ソリューションとともに Juniper
Networks の SA を配置することができます。リモートユーザーは、何か自分たちの知っているもの(暗証番号(PIN))や、
何か持っているもの(RSA SecurID ハードウェア/ソフトウェア・トークンの表示する数字)を入力します。RSA セキュリ
ティは、さらに、認証ソリューション管理をより簡略化するための RSA SecurID Appliance を提供します。
The RSA Authentication Agent のクライアントソフトウェアは、RSA SecurID が提供する強力な認証ソリューションを実
行するため、予め SA に導入されています。SA シリーズは、RSA SecurID の認証のために、ユーザーに ID とワンタイ
ム・パスワードを要求します。ユーザーが、有効な RSA SecurID パスコードを入力したときに限り、アクセスが与えられ
ます。 一度、認証されると、SA との連携で、許可されたリソースのみにアクセスするよう、ユーザーをコントロールしま
す。
この連携ソリューションは、セキュアで投資効果の高い、スケーラブルなリモートアクセスを可能にするために、効率よく
認証を行います。企業は、一人ひとりに RSA SecurID トークンを配布することで、全社員にモバイルの権限を与えるこ
とができます。また在宅勤務者や出張の多い社員の両方を同時にサポートすることもできます。いつでもどこでもアクセ
スできることで生産性は上がり、安全なネットワークリソースへのアクセスが準備できていることで、社員はビジネスニー
ズに素早く対応することができます。また、この連携ソリューションは、HIPAA, GLBA, SOX, OCC など情報保護のため
の法的要件に従っており、企業のコンプライアンス遵守に役立ちます。
6
VI. 二 要 素 認 証 を 備 え た S S L V P N
Juniper Networks と RSA セキュリティの連携ソリューションは、企業に大きなビジネス利点を提供します。二要素認証
ソリューションを備えた SSL VPN が、前述した重要なビジネスにどのように対応するのか、以下の点で理解することが
できます。
Juniper Networks と RSA セキュリティは、あらゆる規模の企業に対して、強力な 2 要素認証を備えた SSL VPN の配
置が容易となる連携ソリューションを提供するため、密接に協力しました。
機能要件
安全なリモートアクセスに特化した機能
IPSec VPN はリモートアクセスに長年使用されてきましたが、多くはサイト間接続用に設計されたものでした。Juniper
Networks SA は、リモートもしくはモバイルの社員へ安全なアクセスを提供するように設計されています。RSA セキュリ
ティの安全な企業アクセスソリューションは、企業ネットワークへのユーザー認証として、市場の認知を受けています。
柔軟なライセンスオプション
Juniper Networks は、SA700, SA2000, SA4000, SA6000/SP の 4 種類のモデルを提供しています。ライセンスは、25
から 35,000 の同時セッションの企業に対応するよう設計されています。RSA セキュリティの安全なリモートアクセスソ
リューションは、どのような規模の企業にも理想的にマッチします。両製品とも、ビジネスの発展およびリモートユーザー
の増加に合わせた、より効果的な機能を提供します。
配備されたすべてのアプリケーションと互換性を持つ
Juniper Networks SA は、あらゆる IP ベースのアプリケーションを利用するために Layer 3 エージェントを提供します。
Network Connect™は、どのようなクライアントソフトウェアもプリインストールする必要がなく、完全なネットワークアク
セスを提供します。そして世界中で広く配置されている標準ベースのプロトコルやコード化アルゴリズムを使用します。
リモートユーザーは、自分の PIN と、RSA SecurID トークンで絶えず変わるコードを、Web ブラウザーに入力するだけ
で、まるで自分の PC が物理的に企業ネットワークに接続したかのような、ネットワークアクセスが得られるのです。
非技術系ユーザーにも簡単に使える
RSA セキュリティは、様々な形のハードウェアトークンを提供します。また、リモートユーザーが個人デバイスを用いて
ネットワークにアクセスできるよう、ソフトウェアベースのトークンも提供します。ユーザーにとって、もはや不可解なパス
ワードを覚える必要は無く、ネットワークアクセスを簡単に実現できます。また、Juniper Networks SA を通して SSL を
使用することで、暗号化された通信を確立することができます。
7
既存インフラストラクチャとの統合
Juniper Networks SA はまさにプラグ・アンド・プレイです。1 時間未満でインストールでき、ネットワークインフラやサー
バーに何の変更も必要ありません。ほとんどのファイアウォールは、ポート 443 (SSL)からのトラフィックを許可するため
にすでにコンフィギュレーションされており、ファイアウォールのコンフィギュレーション変更は必要ありません。RSA セ
キュリティの企業アクセスソリューションは、既存のセキュリティインフラとたやすく統合でき、既存のアカウントデータ
ベースを利用することができます。また、企業はセキュリティ体制の増強と、非常に高速で安全なリモートアクセスが可
能となります。
考慮すべき TCO
購入価格
二要素認証ソリューションを備えた Juniper Networks と RSA の SSL-VPN 連携ソリューションは、大小どのような規模
の企業のニーズや予算にも適応するように価格設定をしています。
日々のメンテナンス
Juniper Networks SA には日々のメンテナンスの必要がなく、変更なしに新規ユーザーに VPN アクセスを許可します。
RSA SecurID トークンは、パスワードを変更するコストや盗聴の危険性を心配する必要性を回避し、より強力なセキュ
リティを提供します。
エンドユーザー・トレーニング
Juniper SA は、単純な Web ユーザーインターフェースと、ほとんどのエンドユーザーがすでに使っている SSL を使用し
ます。そのためエンドユーザーにトレーニングは必要ありません。この連携ソリューションでは、ユーザーは、書き留め
ておきたいような(セキュリティ上、絶対「やってはいけないこと」)不可解で複雑なパスワードをもはや覚える必要はあり
ません。承認されたユーザーは、自分たちの PIN と RSA SecurID のトークンコードを Web ブラウザーに入力します。
一度、認証されるだけで、リモートアクセスを利用した通信を続けることができます。
ユーザーサポート
IPSec VPN のエンドユーザーサポートのほとんどは、クライアントのコンフィギュレーション問題、ISP 互換問題、NAT
問題、またはファイヤーウォールやプロキサーバとの連携の問題から生じています。Juniper Networks と RSA セキュリ
ティによる連携ソリューションは、こういった問題を取り除きます。Juniper Networks SA では、ユーザーにアクセスでき
なかった原因を伝え、「セルフヘルプ」を実行するためには何をしなければならないか教え、複雑なビジネスセキュリティ
ポリシーを実行させることができます。こうして、ヘルプデスクへの負担を減らし、ビジネスポリシーへのコンプライアンス
を促進し、ユーザー
が素早く自分のリモートアクセスを確立できるようにします。RSA セキュリティの二要素認証ソリューションで、パスワー
ドを失くしたり忘れてしまったユーザーをサポートするコストを回避できます。そして、複数のアプリケーションを通して適
用できる、ユーザーごとに単一の ID を確立します。
8
新規リモート社員を追加するための時間、ハードウェアおよびソフトウェアのコスト
新規ユーザーをトレーニングする時間は多くかかるものです。しかし、この連携ソリューションでは、新規ユーザーにア
クセスを承諾するのは簡単です。ユーザーID にアクセスコントロールをつけ加えるか、既存のユーザーディレクトリに若
干の設定を加えるだけです。Juniper Networks SA には、さらなるコンフィギュレーションを行う必要もありません。その
後は、新しい SecurID トークンをユーザーに割り当てるだけで良いのです。
安全性
データ、ユーザーおよびサーバーの保護
Juniper Networks SA では、セッション終了後、データはすべて消去されます。さらに、クッキーやパスワードなどのす
べてのバックエンド・アプリケーションデータも、エンドユーザーの PC ではなく、Juniper Networks SA 内のコード化され
たドライブに格納されます。
Juniper Networks SA は真のリバースプロキシーのため、ユーザーは、バックエンド Web アプリケーションやサービス
に直接アクセスできません。それにより、さらにリスクを最小化します。
SSL 暗号化通信
SSL は強力なコード化を使用しており、重要な通信の暗号化で多くの実績があります。Juniper Networks SA では、管
理者がさらに暗号化を強化するために定義できる、さまざまな暗号とハッシュ法アルゴリズムを提供します。
ポリシーの実施と統合
RSA SecurID トークンは、リモートアクセスを得ようとしているユーザーが、正しいユーザーであることを保証します。ま
た、中小規模の企業ではユーザーグループに適用されるポリシーを集中管理できます。Juniper Networks SA で、セ
キュリティポリシーを実施することは簡単です。この連携ソリューションで、企業はビジネスポリシーに従ってアクセスを
集中的に管理することができます。
スケーラビリティ
現在と将来のリモートアクセスニーズを満たす
Juniper Networks と RSA セキュリティによる費用対効果の高い連携ソリューションは、急成長している企業をサポート
することができます。Juniper Networks SA はアプリケーションレイヤーデバイスであり、クライアントソフトウェアの配置、
インストール、コンフィギュレーションまたはメンテナンスを必要としないため、ユーザーの追加は非常に簡単です。同時
ユーザーの機能をさらに加えたい場合は、ソフトウェアライセンスに、簡単なアップグレードが求められるだけです。
RSA セキュリティの二要素認証ソリューションは、投資効率の高いスケーラビリティをサポートします。また、新規ユー
ザーも簡単に追加することができます。その上、設定・運用のプロセスを非常にシンプルで簡潔にしてくれます。
9
まとめ
Juniper Networks と RSA セキュリティは、フレキシブルで、管理しやすい、非常に強力なセキュリティソリーションを提
供します。RSA セキュリティの強力な二要素認証テクノロジーは、数千社に受け入れられており、世界中で何百万もの
ユーザーによって使用しています。Juniper Networks SA は、このクラス最高の SSL VPN 機器であり、世界中で
10,000 人以上の顧客がそれを証明しています。
この連携ソリューションは、成長企業のニーズに答え、モバイルおよびリモートアクセスの TCO を削減します。クライア
ントハードウェアは全く不要で、サーバにどのような変更も必要ありません。そして、使用中のメンテナンスは最小限とな
ります。この便利な Juniper Networks SA を RSA SecurID 認証テクノロジートと併せて使用することで、企業は、オフィ
ス間の接続やモバイルおよびリモートユーザーの簡単で安全なアクセスために、費用対効果の高い SSL VPN の配置
が可能となります。
Juniper Networks について
Juniper Networks はネットワークビジネスを変えます。
ネットワークとセキュリティソリューションの国際的リーディングプロバイダ、Juniper Networks は、ネットワークから戦略
価値を引き出す顧客に注目し続けています。その顧客には、国際的にメジャーなネットワークオペレータ、企業、医療、
政府機関、研究や学校なども含まれています。Juniper Networks は、(SSL-VPN のみでも)世界のトップサービスプロ
バイダ 25 社のうち 24 社、トップ 10 の航空宇宙/ 防衛企業のうち 9 社、Global Fortune 100 の 50%、Global Fortune
500 の 40%、さらにトップ商業銀行 10 社のうち 8 社を含む、世界で最も要求度の高い重要な任務を担うネットワークの
複雑なスケール、セキュリティ、パフォーマンスなどをサポートするネットワークソリューションのポートフォリオを提供し
ています。Juniper Networks の他のネットワーク/セキュリティ製品についての詳しい情報は、www.juniper.net をご覧く
ださい。
10
RSA セキュリティ株式会社
エンタープライズ営業本部
TEL ( 0 3 ) 5 2 2 2 - 5 2 3 0
大阪営業所
TEL ( 0 6 ) 6 1 3 0 - 3 3 1 5
http://japan.rsa.com
[email protected]
この冊子は、「RSA Solution Brief ‒ Securing Remote Access with SSL VPNs and Strong Auhentication」の翻訳です。
©2005–2007 RSA Security Inc. All Rights Reserved.
RSA, SecurID、RSAロゴは、米国またはその他の国におけるRSA Security Inc.の登録商標または商標です。EMCは、米国EMCコーポレーショ
ンの登録商標です。Juniper Networks、the Juniper Networks ロゴ、NetScreen、NetScreen Remote Access 500およびNetwork Connect
は、Juniper Networks Inc.の商標です。本文中に記載されている製品名、およびサービス名は各社の商標あるいは登録商標です。
11
JNP SB 0706-J